Sans respect du RGPD, pas d’IA pour le Service Desk

Des données permettent d’identifier les individus

Mais toutes ces utilisations de l’IA nécessitent de collecter énormément de données, dont certaines sont directement rattachées à l’utilisateur : localisation, types de systèmes utilisés, position, rôle et fonction au sein de l’organisation.

Indispensables pour bien qualifier et diagnostiquer les incidents, ces données n’en ont pas moins un caractère personnel. En effet, dans une organisation de taille modeste comme une entreprise, il n’est pas très difficile de remonter jusqu’à un individu en recoupant de telles informations même expurgées des identifiants tels que le nom ou le matricule de l’utilisateur.

L’anonymisation étant impossible (on parlera plutôt de « pseudonymisation » des données), tout usage de l’IA dans le cadre du Service Desk pose donc obligatoirement la question de sa conformité avec le RGPD.

PIA : Analyse d’impact obligatoire

Selon l’article 35 du RGPD, il est impératif de réaliser une analyse d’impact (Privacy Impact Assessment, PIA) lorsqu’un traitement ayant recours à de nouvelles technologies (dont l’IA fait indiscutablement partie) peut engendrer « un risque élevé pour les droits et libertés des personnes ».

Coordonné par le Data Protection Officer (DPO) et porté par le responsable du traitement, le PIA vise à évaluer les conséquences pour les individus d’une éventuelle fuite de données et à détailler les mesures juridiques, organisationnelles, de sécurité physique et de sécurité logique mises en œuvre pour s’en prémunir.

Le PIA doit en particulier justifier de la légitimité des données recueillies, des conditions de leur collecte et de leur conservation, au regard de la finalité du traitement. Début 2020, par exemple, la CNIL a jugé qu’EDF et Engie n’avaient pas obtenu de consentement sur le niveau d’informations collectées et pas lieu de conserver les données de consommation issues des compteurs Linky aussi longtemps qu’ils le prévoyaient.

Tout l’enjeu est donc de trouver le bon équilibre entre les objectifs du service, les données sollicitées pour l’exécuter et les mesures mises en œuvre pour les protéger.

Dans le cas du Service Desk, le but manifeste d’améliorer la qualité du service peut certainement légitimer de recueillir et manipuler des données à caractère personnel… nonobstant quelques précautions à expliciter.

Recueil du consentement

Appréhender la question des données personnelles sous l’angle des objectifs de leur traitement n’est pas seulement une nécessité vis-à-vis du RGPD et de la CNIL ; c’est aussi le meilleur moyen d’obtenir le consentement des utilisateurs. Celui-ci est impératif pour donner une base légale à la collecte et à l’exploitation des données dites personnelles. D’autant plus quand celles-ci sont captées lors d’une conversation téléphonique ou électronique, dont le Code des postes et des communications sacralise la confidentialité.

Il faut par conséquent informer l’utilisateur de l’enregistrement de son échange avec le Service Desk ainsi que de l’utilisation ultérieure des éléments recueillis, et lui demander expressément son consentement.

Conclusion

Pour exploiter tout le potentiel de l’IA sans enfreindre la réglementation, le PIA et le recueil du consentement sont donc les deux passages obligés, ce qui nécessite avant toute chose de bien délimiter les responsabilités entre l’entreprise cliente et son prestataire de Service Desk.

C’est au prix de ces précautions que l’IA parviendra à atteindre l’objectif qui lui a d’ores et déjà été assigné dans le domaine du support aux utilisateurs.